来自 CC防护 2021-10-11 12:22 的文章

香港高防服务器_高防服务器什么意思_免费试用

香港高防服务器_高防服务器什么意思_免费试用

今年3月,美国国家标准与技术研究所(NIST)发布了NIST特别出版物800-53,第5版,这是他们的最终公开修订草案。根据摘要,"本出版物为联邦信息系统和组织提供了一个安全和隐私控制目录,以保护组织运营和资产、个人、其他组织和国家免受各种威胁和风险的影响……这些控制是灵活的、可定制的,集群部署防御ddos,并作为是组织范围内风险管理流程的一部分。"在软件安全方面,在第267页开始的第SA-11节"开发人员测试和评估"中,该控制要求系统、系统组件或系统服务的开发人员在系统开发生命周期的所有后期设计阶段:制定并实施持续的安全和隐私评估计划;进行测试/评估;提供执行评估计划和测试和评估结果的证据;实施可验证的缺陷修复过程;纠正测试和评估过程中发现的缺陷。控制SA-11非常全面,它还要求:静态代码分析威胁建模与脆弱性分析评估计划和证据的独立验证手动代码审查渗透试验攻击面评审验证测试和评估的范围动态代码分析交互式代码分析根据控制SA-11,上述9项建议似乎确实符合行业最佳实践。然而,在当今快节奏、迭代式的软件发布世界中,联邦机构及其软件开发人员在试图发布软件时可能会面临挑战。上面列出的控制方法可能会给联邦机构增加相当大的延迟,因为联邦机构想要发布新的或更新的软件来支持他们的任务目标。通常,由FISMA制定的联邦标准和指导方针列出了许多合理的目标,但它们往往没有充分描述如何实现这些目标。今天,许多机构试图在其软件开发实践中采用DevOps基本原理,同时希望通过在混合中添加安全实践来实现DevSecOps。因此,各机构正处在一个十字路口,他们必须(也应该)遵守拟议的NIST要求,同时努力像每天部署多个软件版本的商业同行一样快速转向。这代表了相当的窘境,但并非无法克服。关键是在他们的软件开发工作中利用安全自动化。仔细查看上面的列表时,请注意,在许多情况下,可以在开发应用程序之前执行第2、3、4、6和7项。这些项目通常在每个应用程序中执行不超过一次。另一方面,静态代码分析(1.)、动态代码分析(8.)和交互式代码分析(9.)应在软件开发过程中针对每个软件版本和更新的子版本执行。最后,渗透测试(5.)通常在交付和/或部署后进行。尽管如此,机构面临的真正挑战是如何在软件开发期间自动化和加速代码分析过程,而不让安全性成为发布的障碍。最近,为了帮助机构描绘这一复杂的局面,DLT与关键基础设施技术研究所(ICIT)即"网络安全智囊团"以及政府和行业高层领导合作,进行了一次在线讨论:交互式安全测试、DevSecOps和NIST SP 800-53 Rev。5.有很多人参加。Jeff Hsiao,ICIT贡献者和安全解决方案工程师、Checkmarx、AWS和Ron Ross博士参加了讨论,并展示了他们对该主题的高度有价值的技术见解。所有人都同意交互式安全测试在代码分析过程中扮演着重要的角色,ddos防御产品,然而,机构还必须考虑静态分析、开源分析和开发人员AppSec意识和培训。归根结底,漏洞检测、补救和安全编码实践是所有联邦机构的目标。在Checkmarx,我们是DevSecOps的专家,在软件开发过程中完全自动化代码分析和漏洞修复。事实上,云左的高防cdn,我们在2020年Gartner应用程序安全关键能力测试报告中的DevOps/DevSecOps用例得分最高。如果您想了解我们如何帮助您的机构遵守NIST的待定标准和指南,请随时联系我们。我们的方法不仅可以简化您所有的代码分析和漏洞修复工作,还可以显著减少您发布软件的时间。应用程序安全测试交互式应用程序安全测试NIST开源分析软件开发人员静态分析生物最新帖子斯蒂芬·盖茨Stephen Gates是一位经验丰富的作家、博客作者和出版作家,他为Checkmarx团队带来了15年以上的信息安全实践知识。Stephen致力于传达事实、数字和信息,使所有组织和消费者都认识到网络安全问题。为了配合Checkmarx为所有组织提高软件安全性的使命,ddos防御阀值,他是全球范围内解决方案的倡导者和推动者。斯蒂芬·盖茨的最新帖子关于真实世界网络安全培训的卓越大学研究-2020年9月23日应用安全:动荡往往会导致变革-2020年9月9日你最好开始行动-2020年8月18日

,用高防cdn坏处